C’est probablement « la plus grande compilation d’informations d’identification d’utilisateurs piratées jamais publiée en ligne ». Le site spécialisé BGR a annoncé la semaine dernière qu’une « collection de données d’utilisateurs » avait été mise en ligne par un cybercriminel sur un forum de hackers.

Baptisé Comb pour « Compilation of Many Breaches » (« compilation de nombreuses fuites de données »), ce fichier a divulgué l’accès de 3,28 milliards de combinaisons d’e-mails et mots de passe de comptes piratés lors de récentes attaques informatiques contre des géants du web, indique le site spécialisé Cybernews.

Que s’est-il réellement passé ?

Une gigantesque base de données de plus de 3 milliards d’associations identifiant-mot de passe est apparue le mardi 2 février sur un forum Internet utilisé par des hackers. L’auteur de cette base de données dit avoir regroupé différentes données volées lors des piratages de LinkedIn, Netflix… « Ce n’est donc pas le résultat d’un nouveau piratage, mais plutôt une fusion de données existantes qui avaient déjà été volées dans le cadre de fuites précédentes », indiquent les experts en cybersécurité.

Sur ce fichier baptisé Comb, les informations ont soigneusement été classées par ordre alphabétique et par service utilisé. Parmi les données volées, on retrouve les identifiants de 117 millions de comptes LinkedIn ayant fait l’objet de fuites en 2021 et des accès au site Netflix. Mais aussi des informations concernant des comptes Gmail, Hotmail et bien d’autres encore… Si vos informations ont été collectées, les pirates peuvent accéder à vos combinaisons de courriel et de mot de passe et les utiliser pour hacker vos autres comptes.

Comment savoir si vos données ont été divulguées ?

Le site CyberNews a mis en place un moteur de recherche qui liste les identifiants ayant fuité. Il vous suffit juste de taper votre adresse mail pour savoir si vos données ont été victimes de piratage. Si votre e-mail est concerné, il est conseillé de changer rapidement de mot de passe. La Cnil (Commission nationale de l’informatique et des libertés) recommande de choisir des mots de passe comportant au moins 12 caractères composés de majuscules, minuscules, chiffres et caractères spéciaux.

Il est également recommandé de mettre en place un accès à deux facteurs sur les comptes de messagerie pour garantir leur sécurité. « La deuxième authentification limite l’utilisation de code d’accès extorqués. En général elle se base sur une combinaison de vos empreintes digitales, visage, voix…, de ce que vous connaissez (mot de passe, code PIN…) et/ou de ce que vous possédez (carte à puces, token, smartphone…). Vous l’avez d’ailleurs peut-être déjà mis en place sur votre smartphone avec une authentification à base d’un code PIN et de reconnaissance biométrique », explique Blandine Delaporte, cyberévangeliste chez Check Point Software Technologies.